Как вычислить программу, которая пытается подобрать пароль администратора?



@Lekseych

Windows Server 2008
В терминале работает около 100 пользователей
Периодически в журнале появляется множество записей

Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ADMINISTRATOR
Исходная рабочая станция:
Код ошибки: 0xc0000064

Подробно

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          24.03.2023 15:18:29
Код события:   4776
Категория задачи:Проверка учетных данных
Уровень:       Сведения
Ключевые слова:Аудит отказа
Пользователь:  Н/Д
Компьютер:     TerminalNew.rforest.local
Описание:
Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа:	ADMINISTRATOR
Исходная рабочая станция:	
Код ошибки:	0xc0000064
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4776</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>14336</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2023-03-24T12:18:29.848747700Z" />
    <EventRecordID>40204636</EventRecordID>
    <Correlation />
    <Execution ProcessID="976" ThreadID="122172" />
    <Channel>Security</Channel>
    <Computer>TerminalNew.rforest.local</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
    <Data Name="TargetUserName">ADMINISTRATOR</Data>
    <Data Name="Workstation">
    </Data>
    <Data Name="Status">0xc0000064</Data>
  </EventData>
</Event>

Варьируется только пользователь
ADMINISTRATOR
ADMIN
АДМИНИСТРАТОР

Как по этой информации можно вычислить программу, которая это делает? Или под каким пользователем?


Решения вопроса 1



@CityCat4 Куратор тега Информационная безопасность

А доступ в тырнет у сервера есть?


Ответы на вопрос 2



@d-stream

Можно воспользоваться «методом сантехника»:
— ставим какую-нибудь тулзу типа rdp defender
— устанавливаем бан после 3 неудачных попыток
— носитель зловреда вскоре сам обратится с проблемой «не могу подключиться»

ну или поглядев в лог можно будет оценить массовость явления

p/s/ на время акции желательно свой комп внести в белый список



@youngMaster

В журнале security не всегда есть IP, посмотрите описание данных попыток в журнале Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *